コードとしてのクラウド

この推奨事項の重要な部分は、すべてのクラウドのセットアップと構成をコードとして行うことです。つまり、アプリケーション・インフラストラクチャーからアカウント作成、コンプライアンス・モニターまで、すべてを自動化します。 すべてを自動化することで、企業は反復可能で容易に進化できる方法で、スケール、コンプライアンス、セキュリティーなどを確保できます。 IBM Cloud は、 IBM Cloud カタログにデプロイ可能なアーキテクチャーを多数提供します。これらのアーキテクチャーを使用することで、最小限の労力でこれらの推奨を自動化できます。 これらの事前作成されたソリューションは、企業のニーズに合わせてカスタマイズまたは拡張することもできます。

大規模なコードとしてインフラストラクチャーを管理するには、 Git リポジトリーに Terraform だけではなく、多くのものが必要になります。 Infrastructure as Code は、ガバナンスと管理の両方の対象となる必要があるため、企業全体のクラウド・ソリューションの DNA です。 コードとしてのインフラストラクチャーにより、検証済み、準拠、および承認済みのコードのみがデプロイされます。 また、デプロイメントが内部プロジェクト、チーム、コスト・センターなどにどのように対応しているかを追跡することもできます。

IBM Cloud には、このプロセスを支援するいくつかのツールが用意されています。 IBM Cloud カタログにより、企業は、承認された IaC ソリューションをクラウド全体のユーザーに通知できます。 IBM Cloud プロジェクト により、企業は、承認された IaC のみがデプロイされるようにし、結果のリソースがプロジェクト、チーム、およびコスト・センターにどのように対応するかを追跡することができます。

開発と実動の分離

開発環境は、アカウンティング、リソース使用率、アクセス、可用性、ネットワーキング、およびコンプライアンスの要件が異なるため、実稼働環境から分離する必要があります。 ただし、開発環境は実稼働環境と同期させておく必要があります。これにより、開発環境でテストを行うユーザーは、実稼働環境でアプリケーションが同じように動作することに自信を持つことができます。

この推奨により、開発環境と実稼働環境を明確に分離することができますが、開発環境と実稼働環境を調整するためのコードとしてインフラストラクチャーを使用します。

ハブ・アンド・スポーク・モデル

クラウドでは、ネットワーキングのためにハブとスポークのモデルを使用することについて話すのが一般的です。 このモデルでは、集中ネットワーク・ハブは、多数のスポーク・ネットワーク (VPC) を一緒にリンクします。 集中型ハブは通常、クラウド内でプライベート・ネットワーク接続を可能にしながら、コストを削減し、スケールを拡大するために使用されます。

この推奨事項では、このハブとスポーク・パターンを一般化し、ネットワーキング、コードとしてのインフラストラクチャーの管理、シークレット、共有サービスなど、いくつかの異なる関心領域に適用します。

共有アプリケーション・インフラストラクチャー

安全で、準拠した、堅固で、スケーラブルなアプリケーション・インフラストラクチャーを作成することは、セットアップが難しく、維持にコストがかかる場合があります。 VM またはクラスターをデプロイし、ロギングとモニタリングを構成し、ファイアウォールと脆弱性チェックを有効にする必要があります。これらすべてをモニターし、最新の状態に保つ必要があります。 さらに、このインフラストラクチャーは、アプリケーションのバースト・ロードに対応するように拡張する必要があります。その結果、インフラストラクチャーのいくつかの側面は、ほとんどの場合十分に活用されていません。

運用コストを削減するには、可能な場合はアプリケーション・インフラストラクチャーを標準化し、同じインフラストラクチャーで多数のアプリケーションをホストすることが不可欠です。 このセットアップにより、インフラストラクチャーの使用効率が向上し、多くのアプリケーションで運用コストを共有できるようになります。 また、インフラストラクチャーをコードとして使用してインフラストラクチャーの多数のコピーをデプロイし、そのインフラストラクチャーの開発と保守のコストを潜在的に数千のアプリケーションにわたるコードとしてションすることも実用的です。

ボリューム分析に示されているように、この共有インフラストラクチャーでは、アカウントごとに 1 個から 100 個のアプリケーションをホストする必要があります。アカウントごとに平均 10 個から 20 個のアプリケーションがホストされる可能性があります。 このモデルは、数百のアカウント (開発とテスト用に指定されたアカウントと、実動ワークロード用に指定されたアカウント) を使用して、数千ものアプリケーションとその開発をサポートできます。

標準化されたアプリケーション・ホスティング・インフラストラクチャーを開発するための適切な開始点は、 IBM Cloudの VPC landing zone Deployable アーキテクチャーです。 この IBM Cloud for Financial Services 準拠ソリューションは、VM またはコンテナー・ベースのアプリケーションを完全にセキュアで準拠した方法でホストするために必要なすべてをセットアップします。 また、デプロイ可能アーキテクチャーは、 IBMによってサポートおよび保守されます。 新しいコンプライアンス要件が到着するか、脆弱性が検出されると、セキュリティーとコンプライアンスを維持するためにソリューションが更新されます。

ワークロードからの管理の分離

IBM Cloud Framework for Financial Services リファレンス・アーキテクチャーでは、さまざまなアクセス・モデル、データ・プライバシー要件、ネットワーク・アクセス要件などをサポートするために、管理ワークロードがアプリケーション・ワークロードから分離されています。 これらの原則は金融サービス業界だけでなく広く適用されているため、この一般的な推奨事項にも適用されています。

IBM Cloud の運用上の制限と制約の範囲内で作業する

IBM Cloudには、すべてのパブリック・クラウドと同様に、デプロイメント・パターン、スケールなどに対する一定の割り当て量、制限、および制約があります。 この推奨事項は、すべてのハード制限および制約に合わせて調整し、それらの範囲内で維持する必要があります。

このような割り当て量および制限の例には、以下のものがあります。

• VPC の割り当て量と制限
• IAM の制限
• エンタープライズ・アカウントの制限
• Transit Gateway の制限